STRUMENTI GIURIDICI

Segreto industriale, la tutela passa da GDPR e cybersecurity

Nonostante la normativa europea imponga una serie di misure tecniche per proteggere il know how aziendale riservato, non indica esattamente le azioni da adottare. E’ la prassi a supplire al gap regolatorio: mutuando il processo da direttive relative a discipline diverse. Ecco come

24 Feb 2020
Nadia Martini

Associate Partner e Head of Data Protection Rödl & Partner

Rosa Mosca

IP specialist - Rödl & Partner

Valeria Specchio

Junior Associate - Rödl & Partner


La normativa non indica quali siano esattamente le azioni né le misure da adottare nella tutela dei segreti aziendali né come possano essere individuate. La prassi supplisce però al gap normativo, mutuando il processo da adottare da normative dettate per temi differenti ma assimilabili. E’ quindi la “sinergia” normativa a vincere. In particolare, sono le regole in tema di cybersecurity e di dati personali (GDPR) a venire in soccorso dell’impresa che punta a proteggere e valorizzare il proprio know how. Analizziamo come procedere.

La normativa sui segreti aziendali

La direttiva n. 943/2016 volta alla “protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti” è stata pubblicata nella Gazzetta dell’Unione Europea l’8 giugno 2016 ed è stata recepita in Italia con il Decreto Legislativo n. 63/ 2018 entrato in vigore a far data dallo scorso 22 giugno 2018.

Tale normativa nasce dalla necessità di introdurre uno strumento giuridico di tutela del segreto commerciale (o anche detto aziendale) efficace e comparabile in tutta l’Unione, senza il quale gli incentivi a intraprendere attività transfrontaliere innovative sul mercato interno risultano indeboliti e i segreti commerciali non sono in grado di mettere a frutto le loro potenzialità di motori della crescita economica e dell’occupazione.

La norma in commento impone ai destinatari che vogliano proteggere i segreti aziendali e goderne della relativa tutela, l’obbligo dell’adozione di misure tecniche ed organizzative adeguate a mantenere le informazioni e le esperienze tecnico-industriali segrete.

A livello nazionale, la tutela apprestata dal legislatore è contenuta nel Codice della proprietà industriale che all’art. 98, come novellato dal decreto di attuazione della Direttiva, indica che costituiscono oggetto di tutela i segreti commerciali, ossia le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali (ad es. la lista di clienti, fornitori, prodotti, etc), soggette al legittimo controllo del detentore, a condizione che tali informazioni abbiamo i seguenti requisiti:

  • Segretezza: nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore;
  • Valore economico: abbiano valore economico in quanto segrete ovvero siano suscettibili di sfruttamento ed utilizzo nell’ambito di un’attività economica con relativo vantaggio concorrenziale da parte del detentore degli stessi;
  • Misure di sicurezza: le informazioni devono essere sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete.

Tale ultimo aspetto è molto importante soprattutto alla luce della Direttiva che, all’art. 11, enuncia il principio secondo cui le autorità, competenti a giudicare della sussistenza o meno della violazione del segreto, devono valutare anche se il soggetto il cui diritto si ritiene violato abbia attuato le dovute misure per la tutela. In caso negativo, seppure un’informazione risultasse segreta, non sarebbe tutelabile a livello giudiziale.

È dunque necessario costruire una corretta protezione, dimostrabile e documentabile e verificabile caso per caso. Ma come procedere concretamente alla tutela del know how aziendale e quali misure adottare?

Il processo di protezione dei segreti industriali

La normativa non indica quali siano esattamente le azioni né le misure da adottare né come possano essere individuate. La prassi supplisce però al gap normativo, mutuando il processo da adottare da normative dettate per temi differenti ma assimilabili, ossia:

  • la normativa di cybersecurity, volta alla protezione di sistemi e reti: il 6 luglio 2016 è entrata in vigore la direttiva UE n. 1148/2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi, la cd. NIS. L’8 maggio 2018 la direttiva è stata recepita in Italia con il D.Lgs n. 65/2018.Il comparto normativo di cyber sicurezza è stato poi completato dal Regolamento (EU) 2019/881 (il cd. Cyber Security Act);
  • la normativa in tema di trattamento di dati personali, volta alla protezione dei dati che permettano di identificare anche indirettamente una persona fisica: il Regolamento Privacy Europeo n. 679/2016, operativo dal 25 maggio 2018, recante misure adeguate in materia privacy (il cd. GDPR).
WHITEPAPER
Quali sono i mobile malware più diffusi?
Mobility
Cybersecurity

Ambo le discipline prevedono che, al fine di individuare le misure tecniche e organizzative adeguate a proteggere sistemi e reti (nel caso di cybersecurity) e dati (nel caso di GDPR), ogni destinatario della normativa debba adottare un processo di adeguamento che preveda quanto meno i seguenti step:

  • l’assessment: è la fase volta ad effettuare un assessment di rischio e di impatto, ossia un’analisi concreta degli impatti e dei rischi della violazione, nonché del dettaglio delle misure esistenti a protezione;
  • la remediation: è la fase volta alla individuazione delle misure di rimedio necessarie a rafforzare la protezione;
  • Il monitoraggio: è la fase volta a pianificare la implementazione ed il monitoraggio delle misure adottate a protezione.

Tale processo può ben essere applicato anche a tutela dei segreti aziendali. Vediamo come.

L’assessment di rischio e impatto

Anzitutto, ogni soggetto che voglia tutelare le proprie informazioni industriali dovrà adottare un processo e fare un inventario di tutti i segreti aziendali che intenda proteggere e delle misure adottate a protezione, tenendo in conto lo stato dell’arte (avanzamento tecnologico), i costi di attuazione (delle misure di sicurezza), la natura, l’oggetto, il contesto e le finalità del trattamento dei dati, nonché il rischio di varia probabilità e gravità.

In particolare, nel valutare l’adeguato livello di sicurezza, si dovranno tenere in conto i rischi che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, dei segreti aziendali. E’ quindi importante effettuare una specifica analisi del rischio dei segreti aziendali, al fine di garantire un livello di sicurezza adeguato al rischio.

La remediation: i princìpi

Completata la fase dell’assessment e così individuati i segreti, gli impatti e i rischi per la loro violazione, nonché le misure esistenti, ogni azienda sarà quindi in grado di effettuare la propria Gap Analysis in modo da identificare le misure ulteriori di rimedio necessarie a proteggere in concreto e meglio i segreti e pianificarne la relativa implementazione.

Tra le misure da adottare possono farsi rientrare, a detta della giurisprudenza in materia di segreti industriali, quelle:

  • endoaziendali: ossia strumenti di ostacolo “concreto” (mobili chiusi a chiave, badge, casseforti etc.) e le misure volte a proteggere la documentazione digitale e le reti telematiche (password, chiavi di rete, firme digitali, algoritmi di cifratura etc.);
  • esoaziendali: ossia le prassi concernenti i rapporti dell’azienda con soggetti esterni (fornitori, clienti, consulenti etc.) con cui la stessa condivida informazioni per natura segrete.

Ma in concreto le aziende quali misure possono implementare per garantire la sicurezza dei segreti aziendali?

Remediation: la pratica

Mancando una disciplina ad hoc, le misure possono essere mutuate in analogia dalla normativa Cybersecurity e dal GDPR sopra citati. In particolare, i soggetti che debbono proteggere i propri segreti possono adottare misure adeguate al segreto in esame e precisamente possono essere considerate:

Misure organizzative mutuate dalla Cybersecurity volte a garantire:

  • la sicurezza fisica e dell’ambiente: disponibilità di una serie di misure volte a proteggere le reti e i sistemi informativi dai danni attraverso un risk-based global approach (es. in previsione di errori di sistema, gli errori umani, gli atti dolosi o i fenomeni naturali);
  • la sicurezza delle forniture: definizione e il mantenimento di politiche adeguate al fine di assicurare l’accessibilità e, se del caso, la tracciabilità delle forniture critiche utilizzate nella prestazione dei servizi;
  • i controlli dell’accesso alle reti e ai sistemi informativi: disponibilità di una serie di misure per assicurare un accesso fisico e logico alle reti e ai sistemi informativi (inclusa la sicurezza amministrativa di tali reti e sistemi) autorizzato e limitato sulla base di esigenze aziendali e di sicurezza.

Misure organizzative mutuate dal GDPR volte a garantire:

  • la regolazione dei flussi di risorse, anche a livello umano, mediante l’adozione di procedure interne e di un adeguato modello organizzativo;
  • l’adozione di procedure di gestione dei rischi e di segnalazione degli incidenti;
  • la formazione del personale.

Misure tecniche mutuate dalla Cybersecurity e dal GDPR, tra cui:

  • le misure di privacy by design, pseudo-anonimizzazione, patching, logging;
  • le misure volte a garantire capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (ovvero, anche la capacità del sistema di resistere e reagire);
  • le procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;
  • Il controllo degli accessi alle postazioni PC, nonché ad altri terminali, mediante username e password per ogni singolo operatore che gestisca segreti industriali;
  • la riservatezza delle username e password devono essere riservati, che non vanno scritti su carta e collocati a vista presso la postazione PC, sono personali e non cedibili a nessuno;
  • la custodia della password che deve essere cambiata periodicamente, deve essere “complessa” e non va ceduta a nessuno;
  • le soluzioni di crittografia per gli archivi elettronici;
  • la replica delle stesse misure di sicurezza sui terminali mobili (smartphone, tablet ecc.).

Fase finale: il monitoraggio

In ultimo, completata la fase della remediation, occorre pianificare il monitoraggio. Le aziende dovranno quindi attribuire l’attività di verifica della efficienza e bontà delle misure adottate a protezione dei segreti, calendarizzarla e documentarla con appositi audit e check-list di dettaglio.

A tal fine, potrà essere utile anche in questo caso ispirarsi alle soluzioni di monitoring previste dalla normativa Cybersecurity e dal GDPR, che prevedono che l’attività in commento debba essere regolata con procedure adeguate, attribuita a funzioni dedicate (comitati, funzione di Compliance, OdV) e soggetta ad appositi audit periodici.

Segreto industriale, ottimizzare investimenti

Di conseguenza, le aziende – che già abbiano avviato o stiano avviando un processo di allineamento alle norme citate – possono con facilità far economia dell’investimento fatto e sfruttarlo anche per garantire la protezione più adeguata del know how aziendale. O, in alternativa, le aziende che si approccino per la prima volta al tema possono adottare misure a tutela del know how aziendale e sfruttarle anche per la protezione di dati e sistemi. Con relativo miglior uso degli investimenti economici fatti che verranno così sfruttati anche a favore di una maggiore protezione dell’asset immateriale del segreto aziendale.

WHITEPAPER
IoT Security: i fattori prioritari e i modelli da considerare nelle valutazioni dei rischi
IoT
Legal

@RIPRODUZIONE RISERVATA

Articolo 1 di 4